보안업체 하우리 선행연구팀 최상명 팀장은 12일 “2011년부터 3년 간 국가 주요 기관 및 관련 연구 기관 등을 대상으로 한 북한 추정 조직의 사이버첩보 활동을 공개하겠다”며 “3년 간 수백명이 대상이 돼 정보수집 악성코드 공격을 받은 것으로 추정되며 일부 실제 감염된 대상들은 기밀정보들이 외부로 유출됐다”고 알려왔다.
최 팀장이 공개한 공격 대상은 ‘국방·외교·통일 관련 정부부처’ ‘국방·외교·통일 관련 연구기관 전·현직 원장’ ‘국방·외교·통일 관련 연구기관 연구원’ ‘전·현직 외교관 및 해외 주재국 대사’ ‘예비역 장성’ ‘장관 후보자’ ‘국방·외교·통일 관련 자문위원에 속한 교수’ ‘탈북자 관련 단체 및 탈북자’ 등이다.
악성코드에 감염돼 유출된 것으로 보이는 정보들은 ‘현재 작업화면 캡쳐’ ‘키로깅(keylogging)’ ‘각종 웹 브라우저에 저장된 계정 정보’ ‘하드디스크에 있는 파일 목록 수집’ ‘한글문서를 포함한 각종 문서 파일’ 등이다.
이들은 해킹 대상에게 주로 한글 문서 취약점을 이용해 대상의 이메일로 한글 문서를 첨부파일 형태로 전달했으며 대부분 감염 당시 패치가 존재하지 않는 ‘제로데이 취약점’을 이용했다.
이들은 국방 관련 대상에게는 국방 관련 행사 초청 내용, 연구기관 등에는 관련 연구 논문 및 연구 주제, 해외 주재국의 대사들에게는 해당 국가의 지역 및 주제에 대한 내용 등으로 한글 문서를 전달하는 이른바 ‘사회공학적 기법’을 동원했다.
최 팀장은 “이들이 보낸 이메일은 정상적인 이메일과 구분하기가 상당히 어려운 형태였다”고 설명했다.
그는 북한 추정 해커로 보고 있는 이유에 대해 “악성코드에 사용된 암호화 기법 등이 기존에 북한의 소행으로 알려진 악성코드들과 상당 부분 유사하다”며 “또 개발 경로 및 이메일 프로토콜 등에 한글이 사용되는 등 한글 환경에 능숙했고, 일부 문서에 북한 폰트인 ‘청봉체’ 등이 포함됐다”고 말했다.
이어 이메일 명령을 제어하는 해커조직의 관리자 IP가 국내에서 북한의 김정일 일가를 찬양하는 게시글을 올린 IP와 일치하는 점, 해커조직의 IP 대역이 북한 정찰총국이 위치한 중국 동북3성(랴오닝성, 지린성, 헤이룬장성) 등에 위치한 점도 근거로 제시했다.
최 팀장은 쿠키뉴스와의 통화에서 ‘북한이 아니면서 북한처럼 보이도록 위장됐을 가능성은 없느냐’는 질문에 “그럴 가능성이 전혀 없다고는 볼 수 없지만 여러 정황 상 북한 해커조직이라고 90% 이상 확신하고 있다”고 주장했다.
최 팀장은 “수년 전부터 북한으로 추정되는 여러 해커조직들을 계속 추적하고 있었고, 최근 해외 보안업체들도 조금씩 해당 이슈들을 연구하기 시작해 그 동안 정리된 관련 내용을 공개하기로 했다”며 “오래 전부터 북한으로 추정되는 해커조직들이 국내를 대상으로 사이버첩보 활동을 수행하고 있었으며 누구보다 실감하고 있는 상황에서 더 이상 비공개로 둘 문제는 아닌 것 같다. 공론화하고 효과적으로 대응할 수 있는 방안을 찾는 데 주력하겠다”고 밝혔다.
해외 업체에서도 비슷한 주장이 나왔다.
러시아 유명 보안업체인 카스퍼스키랩의 한국 지사는 이날 국내 주요 기관을 노린 사이버첩보 활동이 발견됐다면서 공격 주체가 북한과 관련이 있다고 밝혔다.
카스퍼스키랩에 따르면 이번에 발견된 활동은 ‘Kimsuky’로 불리며 통일부, 세종연구소, 한국국방연구원, 현대상선을 포함한 국내 주요 정부 기관과 기업을 노렸다.
공격 세력은 악성코드에 감염된 전자우편을 통해 자판(키보드) 입력 기록 정보, 디렉터리 목록, 한글 문서를 빼간 것으로 분석됐다.
해당 악성코드에는 ‘공격’, ‘완성’ 등 한국어 문자열이 포함됐다. 공격자의 IP주소는 북한과 연결된 인터넷 회선이 발견된 중국 업체로 나왔다.
카스퍼스키랩 관계자는 “4월 3일 스파이 활동의 초기 징후를 감지했고 5월 5일에 Kimsuky 트로이목마 샘플을 발견했다”며 “대한민국의 주요 기관을 대상으로 한 제한적이고 고도로 표적화된 공격”이라고 분석했다.
국민일보 쿠키뉴스 김현섭 기자 afero@kmib.co.kr 트위터 @noonker